Dateidienstprogramme
Übersicht
File Utilities ist eine Reihe von Dateiaktionen, mit denen Playbook-Funktionen erweitert werden.
Aktionen
Anhang hinzufügen
Beschreibung
Fügt dem Fall‑Repository einen Anhang hinzu.
Parameter
| Parameter | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Name | String | – | Ja | Geben Sie den Namen des Anhangs an, der in der Fallwand sichtbar sein soll. |
| IsFavorite | Kästchen | Deaktiviert | Nein | Geben Sie an, ob die Anlage in der Fallübersicht als Favorit markiert werden soll. |
| Base64-Blob | String | – | Ja |
Geben Sie das Base64-Blob des Anhangs an. Verwenden Sie die Aktion „Dateien als Base64 abrufen“, um den Base64-Blob zu erhalten.
Für diese Aktion ist ein einzelner Base64-Blob erforderlich. Wenn Sie mehrere Dateien haben, müssen Sie diese Aktion für jede Datei einzeln aufrufen. |
| Typ | String | – | Ja | Geben Sie die Dateiendung an. |
| Beschreibung | String | – | Ja | Geben Sie eine Beschreibung der Datei an. |
Beispiel
In diesem Szenario wird ein Base64-Blob aus einer vorherigen Aktion abgeleitet und dann an die Fallwand angehängt. Nachdem sie der Wand hinzugefügt wurde, kann sie für weitere Analysen verwendet werden. Diese Aktion wird zusammen mit der Aktion „Datei als Base64 abrufen“ verwendet, die den Base64-String einer Datei generiert.
Aktionskonfigurationen
| Parameter | Wert |
| Entitäten | Alle Entitäten |
| Name | Malicious_EML |
| IsFavorite | Aktiviert |
| Base64-Blob | [FileUtilities_Get Files as Base64_1.JsonResult | "data.base64"] |
| Typ | [FileUtilities_Get Files as Base64_1.JsonResult | "data.extension" |
| Beschreibung | Schädliche EML-Datei von einem Endnutzer. |
Aktionsergebnisse
-
Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel is_success Wahr/falsch is_success:True -
JSON-Ergebnis
{ "evidenceName" : "Malicious_EML", "description " : "Malicious EML file from end user.", "evidenceThumbnailBase64" : "", "evidenceId" : 322, "fileType" : ".eml", "creatorUserId" : "Siemplify automation", "id " : 322, "type" : 4, "caseId" : 51187, "isFavorite" : true, "modificationTimeUnixTimeInMs" : 1664206699128, "creationTimeUnixTimeInMs" : 1664206699128, "alertIdentifier" : null }
Entität zur Datei hinzufügen
Beschreibung
Fügt einer lokalen Datei eine Kennung einer Zielentität hinzu. Es wird nur ein Vorkommen der Entität in die Datei eingefügt und „False“ zurückgegeben, wenn die Entität bereits vorhanden ist.
Parameter
| Parameter | Typ | Standardwert | Pflichtfeld | Beschreibung |
| Dateiname | String | – | Ja | Geben Sie den Namen der Datei an, in die die Entitäten geschrieben werden sollen. Die Datei wird im Verzeichnis /tmp/ gespeichert. |
Beispiel
In diesem Szenario werden verdächtige Hostnamen-Entitätskennungen einer Datei namens iocs_list.txt im Verzeichnis /mnt/fileshare/ hinzugefügt.
Aktionskonfigurationen
| Parameter | Wert |
| Entitäten | Verdächtige Hostnamen |
| Dateiname | /mnt/fileshare/ocs_list.txt |
Aktionsergebnisse
-
Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel AddedAllEntities Wahr/falsch Wahr
Dateien zählen
Beschreibung
Zählt die Anzahl der Dateien in einem bestimmten Ordnerpfad anhand einer bestimmten Dateiendung.
Parameter
| Parameter | Typ | Standardwert | Pflichtfeld | Beschreibung |
| Dateiendung | String | *.txt | Nein | Geben Sie die Dateiendung an, nach der gezählt werden soll. |
| Ordner | String | – | Ja | Geben Sie den Ordnerpfad an, für den Sie die Dateien zählen möchten. |
| Ist rekursiv | Kästchen | Deaktiviert | Nein | Wenn diese Option aktiviert ist, werden alle Dateien im Verzeichnis rekursiv gezählt. |
Beispiel
In diesem Szenario werden alle Dateien mit der Endung „.txt“ im Verzeichnis „/mnt/fileshare“ gezählt.
Aktionskonfigurationen
| Parameter | Wert |
| Entitäten | Alle Entitäten |
| Dateiendung | *.txt |
| Ordner | /mnt/fileshare/ |
| Ist rekursiv | Aktiviert |
Aktionsergebnisse
-
Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel ScriptResult Zählwert 10
Archiv erstellen
Beschreibung
Erstellt eine Archivdatei aus einer Liste der bereitgestellten Dateien oder Verzeichnisse. Gibt den Speicherort der Archivdatei zurück.
Parameter
| Parameter | Typ | Standardwert | Pflichtfeld | Beschreibung |
| Typ archivieren | String | – | Ja | Geben Sie den Typ des zu erstellenden Archivs an. Unterstützte Formate: zip, tar, gztar, bztar, xtar. |
| Archivbasisname | String | – | Ja | Geben Sie den Namen der Archivdatei an, die ohne Erweiterung erstellt wird. |
| Eingabe archivieren | String | Deaktiviert | Ja | Wenn diese Option aktiviert ist, werden alle Dateien im Verzeichnis rekursiv gezählt. |
Beispiel
In diesem Szenario wird eine ZIP-Archivdatei namens archived_ioc_files erstellt, die mehrere Dateien im Verzeichnis „/mnt/fileshares“ enthält.
Aktionskonfigurationen
| Parameter | Wert |
| Entitäten | Alle Entitäten |
| Typ archivieren | zip |
| Archivbasisname | archived_ioc_files |
| Eingabe archivieren | /mnt/fileshares/ioc_list1,/mnt/fileshares/ioc_list2, /mnt/fileshares/ioc_list3 |
Aktionsergebnisse
-
Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel ScriptResult Wahr/falsch wahr -
JSON-Ergebnis
{ "archive" : "/opt/siemplify/siemplify_server/Scripting/FileUtilities/Archives/archived_ioc_files.zip", "success" : true }
Base64 decodieren
Beschreibung
Decodiert den Base64-Eingabestring und gibt ein JSON-Objekt mit dem Inhalt zurück.
Parameter
| Parameter | Typ | Standardwert | Pflichtfeld | Beschreibung |
| Base64-Eingabe | String | – | Ja | Geben Sie den Base64-Eingabestring an, den Sie decodieren möchten. |
| Codierung | Drop-down-Menü | UTF-8 | Ja | Geben Sie das Codierungsformat an. UTF-8 oder ASCII |
Beispiel
In diesem Szenario wird ein Base64-Blob einer Datei mit UTF-8 in den ursprünglichen Inhalt konvertiert.
Aktionskonfigurationen
| Parameter | Wert |
| Entitäten | Alle Entitäten |
| Base64-Eingabe | (2FtcGxIIGZpbGUgY29udGFpbmluZyBzYW1qbGUgZGFOYQ== |
| Codierung | UTF-8 |
Aktionsergebnisse
-
Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel ScriptResult Wahr/falsch wahr -
JSON-Ergebnis
{ "decoded_content" : "<file content>" }
Archiv extrahieren
Beschreibung
Extrahiert eine Archivdatei in ein Verzeichnis.
Parameter
| Parameter | Typ | Standardwert | Pflichtfeld | Beschreibung |
| Archivieren | String | – | Ja | Geben Sie den Pfad des zu extrahierenden Archivs an. Unterstützte Formate: zip, tar, gztar, bztar, xtar. Der Zielpfad lautet: /opt/siemplify/siemplify_server/Scripting/FileUtilities/Extract |
Beispiel
In diesem Szenario werden Dateien in ioc_lists.zip extrahiert und im Verzeichnis /opt/siemplify/siemplify_server/Scripting/FileUtilities/Extract gespeichert.
Aktionskonfigurationen
| Parameter | Wert |
| Entitäten | Alle Entitäten |
| Archivieren | /opt/siemplify/siemplify_server/Scripting/FileUtilities/Extract/ioc_lists |
Aktionsergebnisse
-
Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel ScriptResult Wahr/falsch wahr -
JSON-Ergebnis
{"archives" : {0 : "success" : true, "archive" : "ioc_lists.tar", "folder" : "/opt/siemplify/siemplify_server/Scripting/FileUtilities/Extract/ioc_lists", "files_with_path" :{ 0 : "/opt/siemplify/siemplify_server/Scripting/FileUtilities/Extract/testarchive/Archives/ioc_lists.tar", 1 : "/opt/siemplify/siemplify_server/Scripting/FileUtilities/Extract/ioc_lists/Archives/file1" }, "files_list" : { 0 : "ioc_lists.tar", 1 : "file1", 2 : "file2" }, "files" :{ "name" : "ioc_lists", "type" : "directory", "children" : { 0 :{ "name" : "ioc_lists.tar", "type" : "file" }, 1 : { "name" : "file1", "type" : "file" }, 2 : { "name" : "file2", "type" : "file" } } } }
ZIP-Dateien extrahieren
Beschreibung
Dateien aus einem ZIP-Archiv extrahieren Es kann passwortgeschützte Dateien entweder mit einem angegebenen Passwort oder durch Brute-Force-Angriffe extrahieren. Dazu wird das Attribut „attachment_id“ einer Datei-Entität verwendet, um die Datei aus der Fallwand abzurufen und zu extrahieren.
Parameter
| Parameter | Typ | Standardwert | Pflichtfeld | Beschreibung |
| Daten in JSON-Ergebnis einschließen | Kästchen | Deaktiviert | Nein | Geben Sie an, ob die extrahierten Daten als Base64-Werte im JSON-Ergebnis enthalten sein sollen. |
| Entitäten erstellen | Kästchen | Aktiviert | Nein | Geben Sie an, ob Sie Entitäten aus den extrahierten Dateien erstellen möchten. |
| Passwort für ZIP-Datei | String | – | Nein | Geben Sie das Passwort der ZIP-Datei an, wenn sie passwortgeschützt ist. |
| Brute-Force-Passwort | Kästchen | Deaktiviert | Nein | Geben Sie an, ob Sie das Passwort der passwortgeschützten ZIP-Datei per Brute-Force-Methode knacken möchten. |
| Zum Fall-Repository hinzufügen | Kästchen | Aktiviert | Nein | Geben Sie an, ob Sie die extrahierten Dateien der Fallwand hinzufügen möchten. |
| Trennzeichen für die Liste mit ZIP-Passwörtern | String | , | Ja | Geben Sie das Trennzeichen an, das verwendet werden soll, wenn im Parameter „Zip File Password“ (Passwort für ZIP-Datei) mehrere Passwörter angegeben werden. |
Beispiel
In diesem Szenario wird eine passwortgeschützte ZIP-Datei-Entität extrahiert und die resultierenden Dateien werden zusammen mit der Erstellung der Datei-Entität dem Fall-Repository hinzugefügt.
Aktionskonfigurationen
| Parameter | Wert |
| Daten in JSON-Ergebnis einschließen | Aktiviert |
| Entitäten erstellen | Aktiviert |
| Passwort für ZIP-Datei | Password1 |
| Brute-Force-Passwort | Deaktiviert |
| Zum Fall-Repository hinzufügen | Aktiviert |
| Trennzeichen für die Liste mit ZIP-Passwörtern | , |
Aktionsergebnisse
-
Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel zip_files_extracted Wahr/falsch wahr
Anhang abrufen
Beschreibung
Ruft eine Anlage aus der Fallwand ab und gibt ihren Base64-Wert zurück.
Parameter
| Parameter | Typ | Standardwert | Pflichtfeld | Beschreibung |
| Umfang des Anhangs | Drop-down-Menü | Benachrichtigung | Ja | Geben Sie den Typ der abzurufenden Anlage an. Optionen: „Case“ oder „Alert“ |
Beispiel
In diesem Szenario wird ein Anhang aus dem Kundenserviceticket abgerufen und in einen Base64-Blob konvertiert.
Aktionskonfigurationen
| Parameter | Wert |
| Entitäten | Alle Entitäten |
| Umfang des Anhangs | Benachrichtigung |
Aktionsergebnisse
-
Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel ScriptResult Anzahl der Anhänge 1 -
JSON-Ergebnis
{ "evidenceName": "myfile.txt", "description": "sample descriptions", "evidenceThumbnailBase64": "", "evidenceId": 475, "fileType": ".txt", "creatorUserId": "Siemplify automation", "id": 475, "type": 4, "caseId": 51209, "isFavorite": false, "modificationTimeUnixTimeInMs": 1664222678523, "creationTimeUnixTimeInMs": 1664222678523, "alertIdentifier": "COFENSE TRIAGE: INBOX REPORTCBEdfghB-B9E2-4A04fghAB-136A6fdghF0C6", "base64_blob": "dGhpcyBpcyB0ZXN0aW5nIHNhhdfhfpbmRlIHdpbmRvd3Mgc2hhcmdfghdfgUgddfghXNpbmcgc2llbXBsdfghaWZ5IGFndfghdfghdfghZW50" }
Dateien als Base64 abrufen
Beschreibung
Konvertiert Dateien in einem Verzeichnis in Base64-Werte.
Parameter
| Parameter | Typ | Standardwert | Pflichtfeld | Beschreibung |
| Dateipfade | String | – | Ja | Geben Sie den/die Dateipfad(e) an, in dem/denen die Dateien gespeichert sind. Verwenden Sie ein Komma als Trennzeichen, wenn mehrere Pfade angegeben werden. |
Beispiel
In diesem Szenario wird eine Datei namens „iocs_list.txt“ im Verzeichnis „/mnt/sharefiles“ in einen Base64-Blob konvertiert. Diese Aktion wird häufig zusammen mit der Aktion „Anhang hinzufügen“ verwendet, die den Base64-Blob als Eingabe verwendet und die Datei der Fallwand hinzufügt.
Aktionskonfigurationen
| Parameter | Wert |
| Entitäten | Alle Entitäten |
| Dateipfade | /mnt/sharefiles/iocs_list.txt |
Aktionsergebnisse
-
Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel ScriptResult Anzahl der Anhänge 1 -
JSON-Ergebnis
{ "Filenames" : { 0 : "/opt/siemplify/siemplify_server/Scripting/Phishing_.eml", 1 : "/opt/siemplify/siemplify_server/Scripting/Logo.png" }, "data" : { 0 : { "path" : "/opt/siemplify/siemplify_server/Scripting", "filename" : "Phishing_.eml", "extension" : ".eml", "base64" : "asdfagdfgergert34523523452345dfg" } } }
Entität aus Datei entfernen
Beschreibung
Entfernt die Kennung einer Zielentität aus einer lokalen Datei. „False“ wird zurückgegeben, wenn nicht alle Entitäten entfernt werden können oder eine Entität nicht vorhanden ist.
Parameter
| Parameter | Typ | Standardwert | Pflichtfeld | Beschreibung |
| Dateiname | String | – | Ja | Geben Sie den Namen der Datei an, aus der Sie Entitäten entfernen möchten. |
Beispiel
In diesem Szenario werden interne Hostname-Entitätskennungen aus ioc_list.txt entfernt, die sich im Verzeichnis /tmp befindet.
Aktionskonfigurationen
| Parameter | Wert |
| Entitäten | Interne Hostnamen |
| Dateiname | ioc_list |
Aktionsergebnisse
-
Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel RemovedAllEntities Wahr/falsch Wahr
Base64 in Datei speichern
Beschreibung
Konvertiert einen Base64-String in eine Datei. Es werden durch Kommas getrennte Listen für „Dateiname“ und „Base64-Eingabe“ unterstützt.
Standardmäßiger Dateipfad: /opt/siemplify/siemplify_server/Scripting/downloads/FILE_NAME
Standardmäßiger Dateipfad mit einem Agent: /opt/SiemplifyAgent/downloads/FILE_NAME
Parameter
| Parameter | Typ | Standardwert | Pflichtfeld | Beschreibung |
| Dateiendung | String | – | Nein | Geben Sie die Dateiendung an, die dem Dateinamen hinzugefügt werden soll. |
| Base64-Eingabe | String | – | Ja | Geben Sie den Base64-String an, der in eine Datei konvertiert werden soll. Unterstützt Kommatrennung. |
| Dateiname | String | – | Ja | Geben Sie den Namen der Datei an, die auf Grundlage des Base64-Strings erstellt wird. |
Beispiel
Wenn die Aktion in diesem Szenario auf einem Remote-Agent ausgeführt wird, wird ein Base64-Eingabestring in einer Textdatei ioc_list im Verzeichnis /opt/SiemplifyAgent/downloads gespeichert.
Aktionskonfigurationen
| Parameter | Wert |
| Entitäten | Interne Hostnamen |
| Dateiendung | txt |
| Base64-Eingabe | c2FtcGxIIGZpbGUgY29udGFpbsdfgsdfgmluZyBzYW1wbGUgZGF
OYQ== |
| Dateiname | ioc_list |
Aktionsergebnisse
-
Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel ScriptResult Wahr/falsch wahr -
JSON-Ergebnis
{ "files": [ {"file_name": "ioc_list", "file_path": "/opt/SiemplifyAgent/downloads/ioc_list.txt", "extension": ".txt"}] }
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten